Note pour la période des questions : Aperçu de la Cybersécurité

Retour à la page de recherche

About

Numéro de référence :
PSPC-2022-QP-00031
Date fournie :
3 févr. 2022
Organisation :
Services publics et Approvisionnement Canada
Nom du ministre :
Tassi, Filomena (L’hon.)
Titre du ministre :
Ministre des Services publics et de l’Approvisionnement

Enjeu ou question :

Expliquer le rôle de Services partagés Canada en matière de cybersécurité, en comparaison à d’autres organismes tels que le Centre de la sécurité des télécommunications.

Réponse suggérée :

  • Services partagés Canada travaille sans relâche pour conserver des réseaux sûrs, sécuritaires et accessibles pour les Canadiens.
    • La cybersécurité est une responsabilité partagée entre SPC, le CST et le SCT. SPC est une partie intégrante du groupe de cybersécurité tripartite.
    • SPC appuie la conception, l’exécution et la gestion efficace des initiatives de sécurité prioritaires touchant les systèmes du gouvernement et les opérations gouvernementales
    • Lorsqu’un événement lié à la cybersécurité survient au sein de son infrastructure de réseau, SPC et ses partenaires coordonnent avec les ministères et organismes prise en charge par SPC pour déterminer les causes profondes, limiter l’impact et entreprendre le rétablissement. Cela est également vrai pour les composantes dans le nuage gérés par SPC.
    • SPC travaille continuellement pour accroître la cybersécurité des biens numériques du gouvernement du Canada en préparant pour tous types d’incidents cybernétiques et pour répondre aux menaces.

Si on demande des précisions sur le budget de 2022 :

  • La Stratégie nationale de cybersécurité, annoncée en 2018, vise à protéger les Canadiens contre les menaces de cybersécurité en constante évolution qui ciblent les Canadiens, les entreprises canadiennes et nos infrastructures essentielles.
  • Alors que les Canadiens deviennent de plus en plus dépendants des systèmes numériques, les conséquences possibles des cyberincidents s’aggravent constamment, et le Canada doit s’y préparer.
  • C’est pourquoi le budget de 2022 propose d’affecter 875,2 millions de dollars sur cinq ans, à compter de 2022-2023, et 238,2 millions de dollars pour les années suivantes, à des mesures supplémentaires visant à faire face à l’évolution rapide du paysage des cybermenaces.
  • Ce financement comprend 178,7 millions de dollars sur cinq ans alloués à SPC et au CST à compter de 2022-2023, et 39,5 millions de dollars pour les années suivantes, afin d’élargir la protection de la cybersécurité pour les petits ministères et organismes, ainsi que pour les petites sociétés d’État.

Si on demande des précisions sur la responsabilité de SPC par rapport à celle du CSTC :

  • Bien que la plupart des systèmes de sécurité utilisés pour protéger l’infrastructure de la TI du gouvernement du Canada soient conçus et gérés par SPC, le Centre canadien pour la cybersécurité utilise également un éventail de solutions complémentaires qu’il a élaborées pour compléter les systèmes de sécurité gérés par SPC.
  • Tandis que SPC fournit l’infrastructure de sécurité informatique, le Centre canadien pour la cybersécurité surveille les systèmes et les réseaux gouvernementaux pour détecter les activités malveillantes, et dirige la réponse opérationnelle du gouvernement aux incidents relatifs à la cybersécurité.

Contexte :

Aperçu

Le gouvernement du Canada travaille continuellement à améliorer la cybersécurité au Canada par la prévention des attaques au moyen de mesures de sécurité robustes, en cernant les cybermenaces et les vulnérabilités informatiques, et en étant prêt à répondre à toutes sortes de cyberincidents afin de mieux protéger le Canada et les Canadiens.

Le gouvernement a amélioré sa capacité d’entreprise afin de détecter, défendre et répondre aux menaces cybernétiques; a centralisé les services de points d’accès à Internet; a lancé un programme d’architecture de sécurité de l’entreprise; a jeté les bases d’un programme de cybersécurité du gouvernement et mis en œuvre un plan d'intervention en cas d'incident pangouvernementale.

Compte tenu de la nature transversale de la cybersécurité, un certain nombre d’autres ministères et organismes fédéraux jouent un rôle dans différents aspects de la cybersécurité, y compris : le SCT, le Centre de la sécurité des télécommunications, Sécurité publique Canada, la GRC, le SCRS, et la défense nationale.

Les ministères et organismes du gouvernement du Canada jouent un rôle essentiel dans l’établissement de la gouvernance pour assurer la gestion intégrée des services de l’information, des données, de la sécurité et de la cybersécurité, au sein de leurs ministères.

Rôles et responsabilités

Les ministères et organismes fédéraux ont la responsabilité de veiller à la cybersécurité au sein de leur organisation.

Le SCT, SPC et le Centre de la sécurité des télécommunications (CST) sont les principaux intervenants avec la responsabilité de veiller à ce que la cybersécurité du gouvernement est efficace et est en mesure de répondre à l’évolution des menaces.

Le SCT fournit une surveillance stratégique de gestion d’événements de cybersécurité pour assurer une coordination efficace des grands événements de sécurité et pour soutenir la prise de décisions du gouvernement. Le Plan de gestion des événements de cybersécurité du gouvernement du Canada fournit un cadre opérationnel qui décrit les intervenants et les mesures nécessaires pour s’assurer que les activités de cybersécurité soient traitées de façon uniforme, coordonnées et en temps opportun dans l’ensemble du gouvernement. Le dirigeant principal de l’information pour le gouvernement du Canada, au SCT, établit la politique de sécurité de la technologie de l’information ainsi que d’autres pouvoirs délégués.

SPC fournit l’infrastructure de sécurité de la TI (conception, déploiement et fonctionnement). En collaboration avec le SCT et le CST, SPC fournit également la sécurité et la protection des renseignements personnels dans le cadre de l’établissement de nouveaux services.

Bien que la plupart des systèmes de sécurité servant à protéger le gouvernement sont conçus et gérés par SPC, le Centre canadien de cybersécurité (Centre de cybersécurité) utilise aussi un éventail de solutions complémentaires qui lui sont propres pour complémenter systèmes de sécurité gérés par SPC (p. ex. capteur, basés sur un hôte pour la surveillance et la protection des paramètres du gouvernement du Canada).

La sécurité des biens et des services est évaluée à toutes les étapes du processus d’approvisionnement pour veiller à ce que les achats de SPC soient autant à l’abri des menaces liées à la cybersécurité que possible.

Le CST abrite le Centre de cybersécurité, qui surveille les systèmes et réseaux du gouvernement pour les activités malveillantes et des cyberattaques, et dirige l’intervention opérationnelle du gouvernement en matière de cybersécurité. Le Centre de cybersécurité protège et défend les atouts cybernétiques précieux du pays et travaille côte à côte avec les secteurs privé et public, y compris les infrastructures essentielles du Canada, pour résoudre les problèmes de cybersécurité les plus complexes.

Le Centre de cybernétique dirige le « pensez cybersécurité », une campagne de sensibilisation nationale pour informer les Canadiens sur la cybersécurité et sur les mesures simples qu’ils peuvent prendre pour se protéger en ligne.

Sécurité publique Canada dirige la stratégie et la politique de cybersécurité nationale en, par exemple : coordonnant la réponse à d’importantes activités de cybersécurité nationale par le Centre des opérations du gouvernement, en étroite collaboration avec le SCT; et travaillant avec les gouvernements canadiens et internationaux, des associations, des universités et l’industrie pour continuellement faire avancer la cybersécurité à l’échelle nationale et internationale. Sécurité publique Canada est également responsable de l'élaboration d'une nouvelle politique concernant la façon dont le GC soutient les entités non gouvernementales; l'ébauche de politique s'appelle actuellement Politique de coordination du gouvernement du Canada pour les incidents et événements de cybersécurité touchant les systèmes électroniques non-gouvernementaux du Canada. Le rôle de SPC en vertu de cette politique devra être défini.

La Gendarmerie royale du Canada est le principal ministère d’enquête pour tous les incidents de cybersécurité portant sur la cybercriminalité réelle ou soupçonnée sur l’infrastructure du gouvernement du Canada d’origine non étatiques. Ils dirigent également l’enquête criminelle suite aux cas présumés d’incidents cybernétiques nationaux, et aident les partenaires nationaux et internationaux avec des conseils et des directives pour répondre aux menaces de cybercriminalité.

Le Service canadien du renseignement de sécurité est le principal ministère chargé de faire enquête sur des menaces contre les infrastructures essentielles et de systèmes d’information posés par les acteurs de l’État étranger et les terroristes.

Défense nationale / Forces armées canadiennes est le principal ministère responsable de répondre aux menaces cybernétiques, vulnérabilités ou les incidents de sécurité contre ou sur des systèmes militaires.

Chaque ministère a des responsabilités en vertu de la politique sur les services du SCT et numérique pour des aspects précis de la cybersécurité, comme :

  • L’intégration de la cybersécurité dans la gouvernance de service générale, de renseignements, de données et de la technologie de l’information;
  • Désigner un représentant pour la cybersécurité qui est responsable de la gestion de cybersécurité du ministère; et
  • Assurer l’inclusion de la cybersécurité dans la planification ministérielle, en harmonie avec le plan approuvé par le dirigeant principal de l’information du Canada.

Renseignements supplémentaires :

aucun